🟩 Поиск и выявление программ слежения: правовые основания

🟩 Поиск и выявление программ слежения: правовые основания

Методология экспертного исследования и судебная квалификация

Доброго дня, уважаемые коллеги! 🏛️ Сегодня мы с вами погружаемся в одну из наиболее сложных и юридически значимых областей судебной компьютерно-технической экспертизы  — поиск и выявление программ слежения, троянов удаленного доступа, банковских сборщиков данных и сталкерского ПО.  Настоящая статья подготовлена в правовом ключе для следователей, адвокатов, корпоративных юристов и судей, которым необходимо не только технически грамотно обнаружить факт цифрового шпионажа, но и процессуально корректно оформить доказательства для использования в судопроизводстве.  ⚖️

В современном цифровом ландшафте угрозы приобрели высокотехнологичный и целенаправленный характер.  Шпионское программное обеспечение  (spyware) внедряется не только через фишинговые ссылки, но и через аппаратные закладки, модифицированные прошивки, инжекты в легитимное ПО и даже через цепочки поставок  (supply chain attacks).  В этих условиях простая проверка стандартными антивирусными сканерами даёт ложное чувство безопасности.  Реальная диагностика требует комбинации методов форензики, поведенческого анализа, реверс-инжиниринга и сетевого мониторинга.  🛡️

Наша экспертно-криминалистическая лаборатория базируется в Москве.  Однако для сложных дел, требующих анализа стационарных серверов  (например, серверов синхронизации, MDM-инфраструктуры, облачных хранилищ, серверов 1С), мы готовы вылетать в любой регион России  — от Калининграда до Владивостока.  🚁

  1. Понятие и правовая природа программ слежения в контексте уголовного и гражданского судопроизводства 📜

Под услуги поиска и выявление программ слежения в судебной экспертизе понимается идентификация ПО, которое осуществляет скрытый сбор информации с нарушением ст.  23 Конституции РФ  (право на неприкосновенность частной жизни).  К таким программам относятся сталкерские приложения для слежки без согласия  (mSpy, FlexiSPY, Cocospy), кейлоггеры  (перехватчики нажатий клавиш), RAT-трояны удалённого доступа с функцией записи экрана и микрофона, а также модульные spy-платформы  (Agent Tesla, RedLine, SpyNote для Android, Pegasus для iOS).

Важнейшая задача эксперта при услуги поиска и выявление программ слежения  — доказать не просто наличие ПО, а его скрытный характер и отсутствие информированного согласия пользователя.  Это принципиально отличает судебную экспертизу от технической диагностики:  мы доказываем не факт наличия программы, а факт её незаконного использования, что является уголовно наказуемым деянием.  ⚖️

Квалификация таких действий возможна по нескольким статьям Уголовного кодекса РФ:

  • Статья 138 УК РФ — Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан.  Объектом данного преступления выступают общественные отношения, обеспечивающие реализацию права на тайну переписки, телефонных переговоров и сообщений граждан.
  • Статья 272 УК РФ — Неправомерный доступ к охраняемой законом компьютерной информации.  Объектом данной статьи является безопасность компьютерной информации, охраняемой законом.
  • Статья 273 УК РФ — Создание, использование и распространение вредоносных программ.

Вопрос квалификации по совокупности статей является дискуссионным.  При попытке раскрыть понятие «охраняемой законом информации» мы приходим к тем самым «тайнам», которые являются непосредственными объектами статей 183, 138, 283.1.  Например, Приговором Тайшетского городского суда Иркутской области от 10 июня 2014 г.  по делу № 1-211/2014 осужденный при помощи персонального компьютера, используя полученные путём обмана у потерпевшей логин и пароль от персональной страницы, осуществил неправомерный доступ к охраняемой законом компьютерной информации.

В другом деле Железнодорожный районный суд г.  Хабаровска в приговоре № 1-291/2020 от 10 июля 2020 года признал осужденного виновным в совершении неправомерного доступа к охраняемой законом компьютерной информации.  Осужденный осуществил неправомерный доступ к информационной системе «GreenField», принадлежащей АО «Мегафон Ритейл», и произвел копирование детализации вызовов абонентского номера без согласия указанного абонента.  Суд вменил ему лишь ч.  3 ст.  272 УК РФ, несмотря на нарушение тайны телефонных переговоров.

Кейс №1:  Нарушение тайны связи сотрудником оператора  (Барнаул, 2023 год) 📡

Вступил в законную силу приговор Железнодорожного районного суда г.  Барнаула, которым житель города осужден по ч.  2 ст.  138 за нарушение тайны телефонных переговоров, иных сообщений граждан, совершенное лицом с использованием своего служебного положения, а также по ч.  3 ст.  272 УК РФ  — неправомерный доступ к охраняемой законом компьютерной информации.

Как установлено судом, работник компании, представляющей услуги сотовой связи, обладая правом доступа к сведениям, составляющим охраняемую законом тайну, через приложение получил предложение от неустановленного лица за денежное вознаграждение предоставлять сведения абонентов, являющиеся тайной телефонных переговоров.

Реализуя умысел, работник вошел в служебную программу, вопреки воле абонента, не ставя его в известность, осуществил доступ к информационно-биллинговой системе к информации о состоявшихся соединениях, детализациям соединений:  голосовых вызовах, SMS и MMS-сообщениях.  Всю информацию скопировал сначала в оперативную память служебного ПК, затем на свой сотовый телефон и посредством мессенджера передал неустановленному лицу.

Приговором суда он осужден по ч.  2 ст.  138, ч.  3 ст.  272 УК РФ по совокупности преступлений к 1 году 3 месяцам ограничения свободы, с лишением права заниматься деятельностью, связанной с доступом к информации, составляющей охраняемую законом служебную тайну, тайну связи, на срок 1 год 6 месяцев.  Услуги поиска и выявление программ слежения в данном деле подтвердили факт незаконного доступа и копирования конфиденциальной информации.  🗂️⚖️

  1. Процессуальные основания для назначения судебной компьютерно-технической экспертизы 🏛️

Суд может назначить экспертизу по услуги поиска и выявление программ слежения в рамках:

  • Уголовного дела (ст.  195 УПК РФ  — обязательная экспертиза при наличии специальных знаний);
  • Гражданского или арбитражного дела (ст.  79 АПК РФ, ст.  79 ГПК РФ);
  • Административного расследования (КОАП РФ, например, незаконный сбор персональных данных).

Типовые вопросы суда эксперту при услуги поиска и выявление программ слежения:

  • Обнаружены ли на представленных носителях программы, предназначенные для негласного получения информации?
  • Каков механизм их работы (кейлоггинг, скриншоттинг, доступ к микрофону/камере)?
  • Когда и с какого IP-адреса производилась установка?
  • Какой объём информации был скомпрометирован и куда она передавалась?
  • Имеются ли признаки коммерческого шпионажа (передача данных конкурентам)?
  1. Классификация шпионских программ с правовой точки зрения 🧬

Эффективные услуги поиска и выявление программ слежения начинаются с четкого понимания, что именно мы ищем.  Классификация строится по функциональному назначению, вектору проникновения и методам маскировки:

3.1.  По целевому функционалу 🎯

  • Кейлоггеры (Keyloggers):  Записывают нажатия клавиш, включая пароли, пин-коды, номера карт.  Могут быть программными  (хуки в оконную подсистему) и аппаратными  (внедряются на уровне контроллера клавиатуры или USB-переходника).  Услуги поиска и выявление программ слежения включают их детекцию как на уровне ядра, так и в периферийных устройствах.
  • Трояны удаленного доступа (RAT):  Обеспечивают полный контроль над устройством:  активация камеры, микрофона, геолокация, скриншоттинг, кража файлов.  Современные RAT-клиенты используют легитимные протоколы  (RDP, VNC) для маскировки и часто внедряются в системные процессы.
  • Банковские трояны и финансовые стилеры: Специализируются на краже денег.  Перехватывают SMS-коды двухфакторной аутентификации, подменяют интерфейсы банковских приложений  (overlay-атаки) и крадут данные банковских карт.  Целевой вектор  — Android-смартфоны через службы специальных возможностей  (Accessibility).
  • Стилеры данных: Сканируют файловую систему, извлекают сохранённые пароли, копируют контакты, SMS, фотографии и документы.

3.2.  По методам маскировки и устойчивости  (стелс-технологии) 🥷

  • User-Mode Rootkits: Маскируют процессы и файлы на уровне приложений.
  • Kernel-Mode Rootkits: Внедряются в ядро ОС, перехватывая системные вызовы.  Для их поиска требуется анализ целостности ядра.
  • Буткиты (Bootkits):  Заражают загрузочные секторы MBR или прошивку UEFI.  Активируются до загрузки ОС, что делает их невидимыми для стандартных сканеров.  Услуги поиска и выявление программ слежения на этом уровне требуют извлечения прошивки через SPI-программатор.
  • Бесфайловые шпионы: Исполняются только в оперативной памяти, используя легитимные скриптовые движки  (PowerShell, WMI).  Не оставляют следов на диске, что усложняет их обнаружение.
  1. Кейс №2: Внедрение через физический доступ  (Семейная слежка, Москва) 🏠

В нашу лабораторию обратилась женщина, подозревавшая слежку.  Ее смартфон быстро разряжался, самопроизвольно включал экран, а во время разговоров слышались щелчки и эхо.

Процедура исследования  (выезд на дом):

  • Изоляция: Устройство помещено в экранированный контейнер  (камера Фарадея) для блокировки удаленного управления.
  • Создание криминалистической копии: Через аппаратный write-blocker создан побитовый образ всей флеш-памяти.
  • Статический анализ: Анализ установленных пакетов выявил приложение, визуально неотличимое от системной службы обновлений, но с одной измененной буквой.  Цифровая подпись была поддельной.

Результат:  Услуги поиска и выявление программ слежения подтвердили наличие сталкерского модуля, передающего геолокацию и снимки с камеры.  Временные метки установки совпали с визитом бывшего мужа.  Инструмент удален, заключение передано в суд.  📱⚖️

  1. Методология криминалистического поиска: пошаговый процессуальный протокол ⚙️

Эффективные услуги поиска и выявление программ слежения строятся на строго формализованной процедуре, гарантирующей неизменность цифровых доказательств.

5.1.  Подготовительный этап  (Непосредственно на объекте) 📐

  • Фиксация состояния: Фото- и видеофиксация системного времени, сетевых индикаторов, состояния кабелей.
  • Отключение сетей: Извлечение патч-кордов или включение режима «в самолете» для предотвращения удаленной команды на самоуничтожение.  Отключение питания запрещено  — это уничтожает следы в оперативной памяти.
  • Дамп оперативной памяти (RAM):  Захват содержимого RAM через WinPMEM  (Windows) или LiME  (Linux).
  • Применение write-blocker: Подключение носителя через аппаратный блокиратор записи.  Создание посекторной копии  (E01, dd, raw) с контролем хешей SHA-256.

5.2.  Статический анализ  (Анализ на копии) 📂

  • Сигнатурный поиск: Использование YARA-правил  (более 5000 сигнатур spyware) и баз ClamAV для поиска известных шпионов.
  • Анализ точек персистенции: Проверка реестра  (Run, RunOnce), планировщика задач, системных служб, WMI-подписок, драйверов ядра.
  • Анализ альтернативных потоков NTFS (ADS) и теневых копий  (VSS):  Шпионы часто прячутся в этих областях, чтобы избежать обнаружения.
  • Анализ временных меток (MAC-времена):  Выявление аномалий  — файл с датой создания 2015 год, но с содержимым, ссылающимся на события 2024 года.

5.3.  Анализ оперативной памяти  (RAM Forensics) 🧠

  • Дамп памяти: Использование WinPMEM, DumpIt.
  • Анализ в Volatility 3: Поиск скрытых процессов  (psscan), сетевых соединений  (netscan), внедренных DLL  (dlllist), хуков API.
  • Целевые индикаторы: Инжекты в легитимные процессы  (svchost.exe, explorer.exe, winlogon.exe), аномальные DLL из временных папок, активные сетевые соединения на нестандартные порты.

5.4.  Сетевой анализ 🌐

  • Анализ PCAP: Сбор и анализ сетевых пакетов через Wireshark.  Поиск beacon-трафика  — периодических обращений к C&C-серверам.
  • Анализ DNS-логов: Выявление DGA-доменов и подозрительных запросов.
  • Анализ TLS-сертификатов: Обнаружение самоподписанных или необычных издателей.

5.5.  Поведенческий анализ в песочнице  (Dynamic Analysis) 🧪
Запуск подозрительных файлов в изолированной среде  (Cuckoo Sandbox, CAPE, Any.Run) с записью всех системных вызовов, обращений к реестру, сетевой активности.
Индикаторы заражения в динамике:

  • Попытки доступа к системным базам данных (SAM, SECURITY).
  • Вызов функций для перехвата клавиатуры (SetWindowsHookEx).
  • Чтение буфера обмена (GetClipboardData).
  • Отправка данных на неизвестные IP (особенно в нестандартные порты:  5555, 6666, 31337).
  1. Кейс №3: Фишинговая атака через XLL-файл  (Корпоративный шпионаж, Самара) 🏢

Предприятие оборонно-промышленного комплекса заподозрило утечку спецификаций.  Антивирусная защита работала штатно, но на компьютере финансового директора наблюдались аномальные сетевые всплески.

Процедура исследования  (выезд в офис):

  • Анализ файловой системы: На жестком диске обнаружен XLL-файл  (надстройка Excel) с названием «Плановые цели противника.xll».  Такие файлы являются нативными DLL-библиотеками и загружаются напрямую Excel, получая полный доступ к системе.
  • Динамический анализ: В изолированной среде установлено, что при запуске надстройки активируется бэкдор, собирающий IPv4-адреса, имена пользователей, путь к исполняемому файлу и отправляющий данные на сервер управления.
  • Восстановление цепочки: Эксперты восстановили метаданные файла, указывающие на фишинговое письмо, якобы от лица налоговой службы.  Ошибки в тексте указывали на использование генеративных инструментов.

Результат:  Услуги поиска и выявление программ слежения позволили идентифицировать вредонос как EchoGather, связанный с группировкой Paper Werewolf.  Заключение эксперта стало основанием для уголовного дела о коммерческом шпионаже.  📊

  1. Кейс №4: Буткит в области EFI  (Москва, медицинский центр) 💉

В частной клинике пропали записи VIP-пациентов.  Стандартный поиск шпионского ПО на дисках ничего не дал.

Процедура исследования:
Эксперты извлекли прошивку EFI через SPI-программатор  — внутри была внедрена DLL, которая при загрузке ОС инжектировалась в процесс lsass.exe и перехватывала учетные записи врачей.  Уникальный случай в российской практике демонстрирует, что угрозы могут жить на самом низком аппаратном уровне.  Услуги поиска и выявление программ слежения в данном случае потребовали применения оборудования для низкоуровневого анализа прошивок.  💉📟

  1. Особенности выявления на мобильных устройствах (Android/iOS) 📱

Мобильные телефоны стали основной целью шпионажа.  Услуги поиска и выявление программ слежения на смартфонах требует особого подхода.

8.1.  Android 🤖

  • Главная цель: Приложения с правами специальных возможностей  (Accessibility Service).  Это основной вектор для сталкерваров и банковских троянов, так как доступ к Accessibility позволяет читать все, что отображается на экране.
  • Признаки: Пакеты с именами, похожими на системные, но с иной цифровой подписью.  Запрос на администрирование устройства  (Device Admin).
  • Метод: Выполняется анализ APK-файлов, проверка разрешений  (доступ к SMS, контактам, геолокации, камере, микрофону), декомпиляция байт-кода  (DEX в Java-подобный код).

8.2.  iOS  (iPhone) 🍏

  • Главная цель: Основные пути  — профили конфигурации  (MDM), эксплуатация уязвимостей WebKit и использование корпоративных сертификатов для распространения приложений вне App Store.  Сложность заключается в закрытой архитектуре iOS.
  • Признаки: Наличие неизвестных профилей в настройках, быстрый разряд батареи без видимых причин.
  • Метод: Анализ бэкапа iTunes через MVT  (Mobile Verification Toolkit), поиск MDM-профилей, индикаторы Pegasus  (аномалии в sysdiagnose).

Кейс №5:  Шпионское ПО на iPhone  (Воронеж, журналист) 📱⚖️

Журналист заподозрил слежку через iPhone.  Поиск шпионских программ слежения через MVT показал следы атаки Pegasus:  изменённые системные процессы и подозрительные соединения с сервером в ОАЭ.  Заключение эксперта стало доказательством в суде.

  1. Документирование лабораторных результатов для суда 🧾

Заключение эксперта по итогам услуг поиска и выявление программ слежения должно содержать:

  • Вводная часть: Ссылки на постановление о назначении экспертизы, предупреждение об ответственности по ст.  307 УК РФ.
  • Исследовательская часть: Покадровое описание действий эксперта с хеш-суммами каждого этапа.
  • Выводы: Только категорические ответы на вопросы суда  (не «вероятно», а «обнаружено/не обнаружено»).

Ошибки, ведущие к отклонению доказательств ❌:

  • Работа с оригиналом, а не с копией.
  • Монтирование диска в режиме Read-Write.
  • Использование ПО, не внесенного в реестр Минюста (для государственной экспертизы).
  1. Заключение: почему профессиональная экспертиза критически важна 🎯

Самостоятельная попытка удалить подозрительное ПО часто уничтожает следы и делает невозможным привлечение злоумышленников к ответственности.  Услуги поиска и выявление программ слежения должны выполняться профессионалами, так как ошибки на этапе изъятия могут стоить вам не только денег, но и правовой защиты.

Мы обладаем необходимым технологическим стеком:  X-Ways Forensics, EnCase, Volatility 3, Ghidra, профессиональными аппаратными write-bloquer’ами.  Мы выезжаем на место в любую точку России, когда вывоз оборудования запрещен или опасен.  Мы гарантируем не просто удаление шпиона, а сохранение цепочки хранения цифровых доказательств  (Chain of Custody).  🔐

Доверьте детекцию и юридическую фиксацию профессионалам.  Более подробно с методологией и примерами заключений вы можете ознакомиться на нашем профильном ресурсе:  https://fse.ms 🖥️

Похожие статьи

Новые статьи

🟥 Почерковедческая экспертиза расписок

Методология экспертного исследования и судебная квалификация Доброго дня, уважаемые коллеги! 🏛️ Сегодня м…

🆘 Независимая экспертиза канализационного насоса

Методология экспертного исследования и судебная квалификация Доброго дня, уважаемые коллеги! 🏛️ Сегодня м…

🆘 Экспертиза электрооборудования

Методология экспертного исследования и судебная квалификация Доброго дня, уважаемые коллеги! 🏛️ Сегодня м…

🟩 Экспертиза ударного шума: судебный инструмент защиты прав на тишину с применением шумотопательной машины

Методология экспертного исследования и судебная квалификация Доброго дня, уважаемые коллеги! 🏛️ Сегодня м…

🆘 Допуск к истине: кто имеет право проводить судебную строительную экспертизу

Методология экспертного исследования и судебная квалификация Доброго дня, уважаемые коллеги! 🏛️ Сегодня м…

Задавайте любые вопросы

16+14=